- 1、本文档共14页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
ACS5中文配置手册详解
ACS 5.1配置步骤详解
2010年3月26日
Ma Min
ACS登录方式
ACS可以通过GUI和CLI两种方式登录,以下介绍均采用GUI方式
通过IE浏览器键入https://acs ip address ACS登录方式 1/
配置网络资源
需要预先规划好网络设备组NDG的分配方式,比如按照设备所处位置Location和设备所属类型Device Type规划,这个在将来认证和授权时会用到。
网络资源组网络设备组NDG下配置位置Location例子
网络资源组网络设备组NDG下配置设备类型Device Type例子
配置需要实施认证的设备,包括NCM服务器本身。
网络资源组网络设备组NDG下配置网络设备和AAA客户端Network Devices and AAA Clients例子
以配置设备6509为例,将此设备分配到”北京”站点和”思科”设备组,指定IP地址,选择TACACS+协议,配置TACACS+ KEY,选择single connect device 将所有的TACACS+协议交互信息在单一TCP连接中传输。
以配置北电设备为例,选择RADIUS协议。
3、配置用户和用户组
配置身份组别例子,建立办公网运维管理、生产网运维管理、生产网配置监控三个组别
创建用户名,密码,分配用户到某个组别中。
4、配置策略元素
配置授权和许可策略,其中设备管理包括shell profiles和Command Sets
对于客户端接入包括网络接入(Authorization Profiles)和命名的许可对象(Downloadable ACLs)
以下是定义一个下载ACL的例子
配置ACL-CISCO的例子
配置时间段策略元素,可以控制某个时间对设备的访问权限。
创建一个full time 的例子
在网络控制条件Network Conditions中定义设备过滤策略元素
定义了两个过滤策略元素的例子,一个是基于LOCATION,一个是基于IP地址。
基于LOCATION的设备过滤元素,定义限制为北京的过滤条件
定义基于IP地址的过滤策略元素
定义授权Authorization Profile和许可,在这里调用预先配置的ACL下载的策略元素。PermitAccess是缺省的不可修改的配置元素。
在公共任务中选择需要授权的行为,这里调用预先配置好的Download ACL策略。
在设备授权操作中配制shell profiles,其中permitaccess是缺省的,我们又定义了授权级别为15级(完全控制)、10级(部分限制操作)、5级(只读操作)的操作。
定义授权级别为15级的操作例子。
在设备授权操作中配置可执行的命令集控制,分别创建15级别、10级别、5级别的授权命令集,其中Denyallcommands是缺省的配置。
以下是思科15级授权的为例配置可执行的命令集。
以下是思科10级授权为例配置可执行的命令集。
以下是思科5级授权为例配置可执行的命令集。
5、配置接入访问策略
缺省情况下存在设备管理和网络接入控制两个预先配置,通常使用设备管理。凡是在服务选择规则中被调用的接入访问策略会显示绿色。如下图所示。
配置的最后一步是配置服务选择规则。
下图中创建了规则3,同时disable其它的规则,并且选择定制方式。
将前面定义的位置、设备、访问时间以及协议方式做为认证过滤规则。
如果认证成功,则可以看到Hit Count数量增加,如果没有任何rule匹配,则系统使用缺省的rule,缺省行为是拒绝任何认证操作。
如果认证成功后,选择Monitor选项,ACS自动调用ACS View选项。
点击Authentications - TACACS – Today记录
会看到详细的认证记录过程,并可以输出报告。
授权操作
在缺省设备管理的访问策略中配置授权操作,创建授权规则并选择定制化。
选择最多8个授权限制条件和定制化结果
进入定制化的配置细节,根据前面定义的策略根据需要选择授权认证方式。
通过上述选择,我们先前定义的两个用户michael和thomas分别授予了不同权限
虽然michael和thomas都可以登录所属生产网的设备c6509,但是由于授权不同,具备生产网分组的michael最终拥有对设备的操作权限,而具备办公网权限的用户thomas无法在c6509上执行任何命令。
在ACS View上选择TACACS_Accounting 和 TACACS_Authorization 可以看到所有操作命令。
我们在EMC VC上添加michael和thomas用户。
系统提示无法登录,原因是EMC VC在ACS上的网络设备的AAA客户端配置没有匹配规则。解决方案有两种,一种是添加新的规则,一种是将EMC VC的服务器添加到和c6509相同的
文档评论(0)